一种格上基于身份的群签名

王黎

摘 要 本文提出了一个格上基于身份的群签名方案，通过引入一个可信的第三方（KGC），由KGC利用固定维数的格基委派技术来实现密钥的提取与分发，给出了一个高效的基于身份的群签名方案。

关键词 数字签名 格 群签名

中圖分类号：TP309 文献标识码：A

0引言

群签名允许成员代表群进行签名，验证者只能判断签名是否为该群的合法签名，而无法确定真正的签名者。当发生争议时，管理员可使用所掌握的追踪密钥找到真正的签名者。由于同时具有匿名性和可追踪性，群签名在电子投票、电子现金等领域有着广泛的应用。

1本文方案

设用户身份，系统参数为，。

1.1系统建立

KGC运行得到矩阵以及格的一组基，运行得到个矩阵。并选取抗碰撞的哈希函数。

1.2密钥提取

每个用户可以根据自己的身份信息向KGC索取自身密钥。KGC接收到申请后，根据的每一位选择，并计算，令。而后运行，得到对应的一组基，并将发送给用户，即为该用户的签名私钥。

1.3成员加入

设群中原有个成员，当用户申请加入时，先要和管理员进行一个交互式的协议：

（1）在接收到用户的加入申请后，群管理员随机选择向量并发送给用户；

（2）用户接收到后，首先随机选择一个向量，然后运行算法

得到满足

原像，并发送给群管理员。

（3）群管理员根据用户的身份信息及系统公钥计算矩阵，，如果向量满足条件和，则群管理员接受该用户为群成员，并利用算法生成随机矩阵及格对应的短基，则有。管理员更新公钥为，更新追踪密钥为，并更新成员列表。

1.4签名

对于消息，群成员选择一个随机向量。当时，群成员利用算法得到满足的原像；当时，选择任意满足的向量。然后，对于所有的，随机选择向量，并计算。最后构造一个NIWI证明，并输出对消息的群签名。

1.5验证

验证者接收到签名后，首先根据时间，选取对应时间的群成员的身份信息并计算出相应的公钥。如果NIWI证明是正确的，并且对于时刻的所有有成立，则验证通过。

1.6打开

群管理员对于发生争议的签名，利用追踪密钥计算出使得成立的最小的，则成员为签名者。

1.7成员撤销

如果要撤销群成员，则群管理员需要更新群成员列表并更新群公钥为

2方案分析

2.1正确性

设是一个合法的群签名，那么显然是一个正确的NIWI证明，并且对于所有的，有

成立。因此该方案是正确的。

2.2不可伪造性

在不拥有签名私钥的情况下，构造出一个合法的群签名在计算上是不可行的，其困难性与伪造一个GPV签名难度等价。而如果攻击者想通过群成员对应的公钥推导出其对应的签名私钥就面临着求解一个SIVPr实例。

参考文献

[1] Gordon，S.D&J.Katz;&V.Vaikuntanathan.A; group signature scheme from lattice assumptions[M].Advances in Cryptology-ASIACRYPT 2010. Springer Berlin Heidelberg， 2010： 395-412.

[2] Gentry，C&C.Peikert;&V.Vaikuntanathan.Trapdoors; for hard lattices and new cryptographic constructions[C]. Proceedings of the fortieth annual ACM symposium on Theory of computing. ACM， 2008： 197-206.